การหลอกลวงฟิชชิ่ง OneDrive

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนเกี่ยวกับแคมเปญฟิชชิ่งใหม่ที่กำหนดเป้าหมายผู้ใช้ Microsoft OneDrive แคมเปญนี้มีจุดมุ่งหมายเพื่อปรับใช้สคริปต์ PowerShell ที่เป็นอันตรายโดยใช้เทคนิควิศวกรรมสังคมที่ซับซ้อนเพื่อหลอกผู้ใช้ให้เรียกใช้สคริปต์และทำให้ระบบเสียหาย นักวิจัยกำลังติดตามแคมเปญฟิชชิ่งและดาวน์โหลดที่เป็นนวัตกรรมใหม่นี้ ซึ่งพวกเขาเรียกว่า OneDrive Pastejacking

ผู้โจมตีเลียนแบบ OneDrive เพื่อหลอกเหยื่อ

การโจมตีเริ่มต้นด้วยอีเมลที่มีไฟล์ HTML ซึ่งเมื่อเปิดขึ้นมา จะแสดงรูปภาพที่เลียนแบบหน้า OneDrive และแสดงข้อความแสดงข้อผิดพลาดที่ระบุว่า: "ไม่สามารถเชื่อมต่อกับบริการคลาวด์ 'OneDrive' ได้ หากต้องการแก้ไขปัญหานี้ ให้อัปเดต DNS ด้วยตนเอง แคช"

อีเมลมีสองตัวเลือก: 'วิธีแก้ไข' และ 'รายละเอียด' ลิงก์ 'รายละเอียด' จะนำผู้ใช้ไปยังหน้า Microsoft Learn ของแท้เกี่ยวกับการแก้ไขปัญหา DNS

อย่างไรก็ตาม การคลิก 'วิธีการแก้ไข' จะนำผู้ใช้ผ่านขั้นตอนต่างๆ ที่เกี่ยวข้องกับการกด 'Windows Key + X' เพื่อเข้าถึงเมนู Quick Link การเปิดเทอร์มินัล PowerShell และวางคำสั่งที่เข้ารหัส Base64 ซึ่งมีจุดประสงค์เพื่อแก้ไขปัญหา

คำสั่งนี้จะรัน ipconfig /flushdns ก่อน จากนั้นจะสร้างโฟลเดอร์ชื่อ 'downloads' บนไดรฟ์ C: ดำเนินการโดยการดาวน์โหลดไฟล์เก็บถาวรลงในโฟลเดอร์นี้ เปลี่ยนชื่อ แยกเนื้อหา (ซึ่งรวมถึง 'script.a3x' และ 'AutoIt3.exe') และเรียกใช้ 'script.a3x' ด้วย 'AutoIt3.exe'

กลยุทธ์ฟิชชิ่งกำลังนำเทคนิคใหม่มาใช้

ตรวจพบแคมเปญฟิชชิ่ง OneDrive Pastejacking ที่กำหนดเป้าหมายผู้ใช้ทั่วสหรัฐอเมริกา เกาหลีใต้ เยอรมนี อินเดีย ไอร์แลนด์ อิตาลี นอร์เวย์ และสหราชอาณาจักร

การค้นพบนี้เป็นไปตามการวิจัยก่อนหน้านี้เกี่ยวกับกลยุทธ์ฟิชชิ่งที่คล้ายกันซึ่งเรียกว่า ClickFix ซึ่งกำลังกลายเป็นเรื่องปกติมากขึ้น

นอกจากนี้ โครงการวิศวกรรมสังคมผ่านอีเมลรูปแบบใหม่ได้เกิดขึ้น โดยเผยแพร่ไฟล์ทางลัด Windows ปลอมที่ก่อให้เกิดเพย์โหลดที่เป็นอันตรายซึ่งโฮสต์บน Content Delivery Network (CDN) ของ Discord

ผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกต้องตามกฎหมาย

แคมเปญฟิชชิ่งมีการใช้อีเมลที่มีลิงก์ไปยังแบบฟอร์ม Microsoft Office จากบัญชีที่ถูกต้องตามกฎหมายที่ถูกบุกรุกมากขึ้นเรื่อยๆ เพื่อหลอกให้เป้าหมายเปิดเผยข้อมูลรับรองการเข้าสู่ระบบ Microsoft 365 ข้ออ้างมักเกี่ยวข้องกับการกู้คืนข้อความ Outlook

ผู้โจมตีออกแบบแบบฟอร์มที่น่าเชื่อถือบน Microsoft Office Forms โดยฝังลิงก์ที่ไม่ปลอดภัยไว้ภายใน แบบฟอร์มเหล่านี้จะถูกส่งจำนวนมากทางอีเมล โดยปลอมแปลงเป็นคำขอที่ถูกต้อง เช่น การเปลี่ยนรหัสผ่านหรือการเข้าถึงเอกสารสำคัญ ซึ่งมักจะเลียนแบบแพลตฟอร์มที่เชื่อถือได้ เช่น Adobe หรือ Microsoft SharePoint

นอกจากนี้ ความพยายามฟิชชิ่งอื่นๆ ได้ใช้เหยื่อล่อตามใบแจ้งหนี้เพื่อหลอกล่อเหยื่อให้ป้อนข้อมูลประจำตัวของตนบนหน้าฟิชชิ่งที่โฮสต์บน Cloudflare R2 โดยข้อมูลที่รวบรวมจะถูกส่งไปยังผู้โจมตีผ่านทางบอต Telegram

เห็นได้ชัดว่าผู้ไม่หวังดีกำลังสำรวจวิธีการใหม่ ๆ อย่างต่อเนื่องเพื่อหลีกเลี่ยงเกตเวย์อีเมลที่ปลอดภัย (SEG) เพื่อเพิ่มอัตราความสำเร็จของการโจมตี